21.0.0.SPC1
本节介绍Kunpeng BoostKit 21.0.0 机密计算TrustZone产品 21.0.0.SPC1 补丁解决的问题。
问题单号 |
DTS:DTS2022031614728 漏洞编号:HWPSIRT-2022-46709 |
|---|---|
问题描述 |
条件:是证书解析中,使用椭圆曲线中带有压缩特性的算法时,遇到非质数场景会产生死循环。 现象:TA应用在调用PEM_read_bio_X509接口时,一定条件下会导致程序死循环,接口无法返回结果。 影响:导致TA应用业务中断,业务功能受影响。 该产品使用了openssl 1.1.1k中的1个安全漏洞,其外部漏洞编码(CVE)为:CVE-2022-0778。 |
严重级别 |
一般 |
根因分析 |
开源组件openssl 1.1.1k BN_mod_sqrt函数存在编码缺陷,有可能导致在非素数场景下,出现死循环。该接口主要用于解析压缩格式的椭圆曲线公钥或者具有压缩格式编码的显式椭圆曲线参数。 |
解决方案 |
上层TA应用避免调用PEM_read_bio_X509功能接口。 |
修改影响 |
缺陷修复,对其他无影响。 |
测试建议 |
在合入OpenSSL开源漏洞patch后,使用OpenSSL官方提供的测试套测试该开源漏洞是否修复。 产品确认平台引入的开源组件已合入该漏洞patch。 |
父主题: 解决的问题